Назначение меток конфиденциальности группам Microsoft 365 в идентификаторе Microsoft Entra

Идентификатор Microsoft Entra поддерживает применение меток конфиденциальности к группам Microsoft 365, когда эти метки публикуются на портале Microsoft Purview или портале соответствия Microsoft Purview, а метки настраиваются для групп и сайтов.

Метки конфиденциальности можно применять к группам в приложениях и службах, таких как Outlook, Microsoft Teams и SharePoint. Дополнительные сведения см. в разделе Поддержка меток конфиденциальности в документации по Purview.

Важный

Чтобы настроить эту функцию, в вашей организации Microsoft Entra должна быть активна по крайней мере одна лицензия Microsoft Entra ID P1.

Включение поддержки меток конфиденциальности в PowerShell

Чтобы применить опубликованные метки к группам, необходимо сначала включить эту функцию. Эти действия позволяют включить функцию в идентификаторе Microsoft Entra. Пакет SDK Для Microsoft Graph PowerShell поставляется в двух модулях, Microsoft.Graph и Microsoft.Graph.Beta.

Все управляемые корпорацией Майкрософт регионы должны выбрать корпорацию Майкрософт. Все остальные регионы должны выбрать свой оператор, если он указан.

Майкрософт

1. Откройте окно PowerShell на вашем компьютере и установите модули Graph, необходимые для запуска командлетов.

   Install-Module Microsoft.Graph -Scope CurrentUser
   Install-Module Microsoft.Graph.Beta -Scope CurrentUser
   

2. Подключитесь к арендатору.

   Connect-MgGraph -Scopes "Directory.ReadWrite.All"
   

3. Получение текущих параметров группы для организации Microsoft Entra и отображение текущих параметров группы.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting | Where-Object { $_.Values.Name -eq "EnableMIPLabels" }
   $grpUnifiedSetting.Values
   

   Если для этой организации Microsoft Entra не были созданы параметры группы, вы получите пустой экран. В этом случае необходимо сначала создать параметры. Следуйте шагам, описанным в командлетах Microsoft Entra для настройки параметров группы, чтобы создать параметры группы в этой организации Microsoft Entra.

   Заметка

   Если метка конфиденциальности была включена ранее, вы увидите EnableMIPLabels = True. В этом случае вам ничего не нужно делать. Кроме того, если вы не хотите, чтобы пользователи, не являющиеся администраторами, могли создавать группы, убедитесь, что EnableGroupCreation = False. См. параметры шаблона для получения дополнительных сведений.

4. Примените новые параметры.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

5. Убедитесь, что новое значение присутствует.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Если вы получаете ошибку Request_BadRequest, это связано с тем, что параметры уже существуют в арендаторе. При попытке создать новую пару property:value результатом является ошибка. В этом случае выполните следующие действия.

1. Выполните Get-MgBetaDirectorySetting | FL командлет и проверьте идентификатор. Если присутствуют несколько значений идентификаторов, используйте тот, где отображается свойство EnableMIPLabels в параметрах Значения.
2. Выполните командлет Update-MgBetaDirectorySetting с помощью полученного идентификатора.

Кроме того, необходимо синхронизировать метки конфиденциальности с идентификатором Microsoft Entra. Инструкции см. в разделе Включение меток конфиденциальности для контейнеров и синхронизация меток.

21Vianet

Если вы выполняете эти операции Microsoft 365 из 21Vianet:

1. Зарегистрируйте приложение Microsoft Entra ID в Microsoft Entra.

2. Предоставьте api приложениям разрешения на доступ к Microsoft Graph, включая Directory.ReadWriteAll и Group.ReadWriteAll, вам может потребоваться явное согласие администратора клиента, чтобы предоставить приложению доступ к Microsoft Graph.

3. Создайте секрет клиента и скопируйте его. Вам нужен секрет клиента для подключения к MS Graph;

4. Запустите PowerShell от имени администратора:

   $ClientSecretCredential = Get-Credential -Credential
   

   После выполнения команд вам будет предложено ввести пароль. Пароль — это новый секрет клиента, скопированный на предыдущем шаге.

5. Выполните следующую команду, чтобы получить доступ к MS Graph:

   Connect-MgGraph -TenantId "Current tenant id" - ClientSecretCredential $ClientSecretCredential -Environment China
   

6. Получите текущие параметры группы для организации Microsoft Entra и отобразите их.

   $grpUnifiedSetting = Get-MgBetaDirectorySetting -Search DisplayName:"Group.Unified"
   

   Если для этой организации Microsoft Entra не были созданы параметры группы, вы получите пустой экран. В этом случае необходимо сначала создать параметры. Выполните действия, описанные в командлетах Microsoft Entra для настройки параметров группы для создания параметров группы для этой организации Microsoft Entra.

   Заметка

   Если метка конфиденциальности была включена ранее, вы увидите EnableMIPLabels = True. В этом случае вам ничего не нужно делать. Кроме того, убедитесь, что EnableGroupCreation = False, если вы не хотите, чтобы неадминистраторы могли создавать группы. Дополнительные сведения см. в параметрах шаблона .

7. Примените новые параметры.

   $params = @{
        Values = @(
    	    @{
    		    Name = "EnableMIPLabels"
    		    Value = "True"
    	    }
        )
   }
   
   Update-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id -BodyParameter $params
   

8. Убедитесь, что новое значение присутствует.

   $Setting = Get-MgBetaDirectorySetting -DirectorySettingId $grpUnifiedSetting.Id
   $Setting.Values
   

Если вы получаете ошибку Request_BadRequest, это из-за того, что параметры уже существуют у арендатора. При попытке создать новую пару property:value результатом является ошибка. В этом случае выполните следующие действия.

1. Выполните Get-MgBetaDirectorySetting | FL командлет и проверьте идентификатор. Если присутствуют несколько значений идентификаторов, используйте то, где вы видите свойство EnableMIPLabels в настройках значений .
2. Выполните командлет Update-MgBetaDirectorySetting с помощью полученного идентификатора.

Кроме того, необходимо синхронизировать метки конфиденциальности с идентификатором Microsoft Entra. Инструкции см. в разделе Включение меток конфиденциальности для контейнеров и синхронизация меток.

Назначение метки новой группе в Центре администрирования Microsoft Entra

1. Войдите в центр администрирования Microsoft Entra с правами администратора групп.

2. Выберите Microsoft Entra ID.

3. Выберите Группы>Все группы>Создать группу.

4. На странице Новая группа выберите Microsoft 365. Затем заполните необходимые сведения для новой группы и выберите метку конфиденциальности из списка.

   

5. Выберите Создать, чтобы сохранить изменения.

Ваша группа создается, а параметры сайта и группы, связанные с выбранной меткой, затем автоматически применяются.

Назначение метки существующей группе в Центре администрирования Microsoft Entra

1. Войдите в центр администрирования Microsoft Entra как минимум как администратор групп.

2. Выберите идентификатор Microsoft Entra ID.

3. Выберите групп.

4. На странице Все группы выберите группу, которую нужно пометить.

5. На странице выбранной группы выберите Свойства и выберите метку конфиденциальности из списка.

   

6. Выберите Сохранить, чтобы сохранить изменения.

Удаление метки из существующей группы в Центре администрирования Microsoft Entra

1. Войдите в Центр администрирования Microsoft Entra по меньшей мере как Администратор групп .
2. Выберите Microsoft Entra ID.
3. Выберите следующие группы: ,,>,и все группы.
4. На странице Все группы выберите группу, из которой нужно удалить метку.
5. На странице группы выберите Свойства.
6. Выберите Удалить.
7. Выберите Сохранить, чтобы применить изменения.

Использовать классические классификации Microsoft Entra

После включения этой функции классификации классических групп отображаются только на существующих группах и сайтах. Их следует использовать только в том случае, если вы создаете группы в приложениях, которые не поддерживают метки конфиденциальности. При необходимости ваш администратор может преобразовать их в метки конфиденциальности. Классические классификации — это старые классификации, настроенные путем определения значений для параметра ClassificationList в Azure AD PowerShell. Если эта функция включена, эти классификации не применяются к группам.

Заметка

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Мы рекомендуем перейти на Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Для получения ответов на распространенные вопросы о миграции см. Migration FAQ. Примечание. Версии 1.0.x MSOnline могут испытывать сбои после 30 июня 2024 года.

Устранение неполадок

В этом разделе приведены советы по устранению распространенных проблем.

Метки конфиденциальности недоступны для назначения на группу

Параметр метки конфиденциальности отображается только в том случае, если выполняются все следующие условия:

1. У организации есть активная лицензия Microsoft Entra ID P1.
2. Эта функция включена и EnableMIPLabels имеет значение True в модуле Microsoft Graph PowerShell.
3. Метки конфиденциальности публикуются на портале Microsoft Purview или на портале соответствия Microsoft Purview для организации Microsoft Entra.
4. Метки синхронизируются с идентификатором Microsoft Entra с командлетом Execute-AzureAdLabelSync в модуле Security & Compliance PowerShell. После синхронизации может потребоваться до 24 часов, чтобы метка стала доступна в Microsoft Entra ID.
5. Область метки конфиденциальности должна быть настроена для групп & сайтов.
6. Группа — это группа Microsoft 365.
7. Текущий пользователь, вошедший в систему:
   1. Имеет достаточные привилегии для назначения меток чувствительности. Пользователь должен быть владельцем группы или по крайней мере администратором групп.
   2. Должен находиться в сфере действия политики публикации меток конфиденциальности .

Убедитесь, что выполнены все предыдущие условия, чтобы назначить метки группе.

Метка, которую вы хотите назначить, отсутствует в списке

Если метка, которую вы ищете, отсутствует в списке:

• Метка может быть не опубликована на портале Microsoft Purview или на портале соответствия Microsoft Purview. Кроме того, метка больше не будет опубликована. Обратитесь к администратору для получения дополнительной информации.
• Метка может быть опубликована, но она недоступна пользователю, вошедшему в систему. Чтобы получить дополнительную информацию о доступе к метке, обратитесь к администратору.

Изменение метки в группе

Метки можно переключить в любое время, выполнив те же действия, что и назначение метки существующей группе:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор групп.
2. Выберите идентификатор Microsoft Entra ID.
3. Выберите Группы>все группы, а затем выберите группу, которую нужно пометить.
4. На странице выбранной группы выберите Свойства и выберите новый ярлык конфиденциальности из списка.
5. Выберите Сохранить.

Изменения настроек группы для опубликованных меток не обновляются на группах

При внесении изменений в параметры группы для опубликованной метки на портале Microsoft Purview или на портале соответствия требованиям Microsoft Purviewэти изменения политики не применяются автоматически к помеченным группам. После публикации и применения метки конфиденциальности к группам корпорация Майкрософт рекомендует не изменять параметры группы для метки на портале.

Если необходимо внести изменения, используйте скрипт PowerShell , чтобы вручную применить обновления к затронутым группам. Этот метод гарантирует, что все существующие группы применяют новый параметр.

Дальнейшие действия

• Используйте метки конфиденциальности для защиты содержания в Microsoft Teams, группах Microsoft 365 и сайтах SharePoint
• Обновите группы после изменения политики меток вручную с помощью скрипта Azure AD PowerShell
• Изменение параметров группы
• Управление группами с помощью команд PowerShell